Benötigte Windows-Berechtigungen für die Nutzung von ACMP
Um eine einwandfreie und reibungslose Nutzung von verschiedenen Solutions und Anwendungen in ACMP und AESB zu gewährleisten, werden gewisse Berechtigungen für verschiedene Accounts benötigt.
Im Folgenden sind die benötigten Accountrechte für die jeweiligen Anwendungsfälle aufgelistet.
ACMP
ACMP Server, Console und Komponenten
- Es wird ein Windows Benutzer mit administrativen Rechten auf dem System benötigt.
Versionshinweis:
Ab der 6.6 kann für die ACMP Console ein Dienst mit installiert werden, der das Update der Console für den Benutzer übernimmt. Somit muss nur bei der Erstinstallation ein administrativer Account verwendet werden. Danach benötigt der Benutzer zur Verwendung und Aktualisierung der ACMP Console keine administrativen Berechtigungen mehr.
Agenteninstallation
Wenn die Installation des Agent automatisch über Installationsregeln erfolgen oder gepusht werden soll, werden folgende Rechte benötigt.
- Es wird ein Benutzer mit Lese-, Schreib- und Ausführen-Rechten auf der administrativen Freigabe „admin$“ benötigt.
- Es sind administrative Rechte zur Installation erforderlich.
- Für die Installation aus der ACMP Server-Freigabe über die Launcher.exe werden administrative Rechte benötigt.
Versionshinweis:
Ab der 6.6 kann die Agenteninstallation aus der ACMP Server-Freigabe auch über die MSI durchgeführt werden. Dafür werden ebenfalls administrative Rechte benötigt.
Hinweis:
Ein Verbindungstest auf die Admin$-Freigabe kann über %Computername% \Admin$ vom ACMP Server ausgeführt werden.
ACMP Consolen-Login mit Active Directory-Benutzern
Um die Anmeldung von Domänenbenutzern zu ermöglichen: Es muss in den Einstellungen ein Benutzer hinterlegt werden, welcher die Benutzer und Gruppen in der AD auslesen kann. Der Import erfolgt über eine AD-Gruppe, welche in der ACMP Gruppe „AD Login“ hinterlegt ist.
Hinweis: In der Standardkonfiguration besitzt die vorgefertigte Gruppe "Prä-Windows 2000 kompatibler Zugriff" die erforderlichen Berechtigungen.
ACMP Kiosk
- Werden im ACMP Kiosk Bedingungen mit Domänenbezug genutzt, so muss der angemeldete Benutzer entsprechende lesende Rechte darauf besitzen.
OS Deployment
- Es wird ein Benutzer mit dem Recht "Computer-Objekte erstellen" benötigt, wenn bei dem Rollout der Client der Domäne beitreten soll.
- Für den Domänenbeitritt muss der Benutzer zudem das Recht „Hinzufügen von Arbeitsstationen zur Domäne“ besitzen.
File Repositories
Für die Synchronisation vom Server zum File Repository:
- Es werden Schreib- und Leserechte auf das Zielverzeichnis benötigt.
- Bei Samba (SMB / Windows-Freigabe) werden Schreib- und Leserechte in den Freigabeeinstellungen (für den Benutzer, der die Synchronisation vornimmt) benötigt.
Für die Synchronisation vom File Repository zum Agent:
- Es werden nur Leserechte auf das Quellverzeichnis benötigt, da der Agent nur Dateien vom File Repository herunterladen kann. Wenn der Agent Dateien auf das File Repository hochladen soll, werden diese immer zum ACMP Server hochgeladen, sodass hier nichts auf die Verteilten File Repos vom Agenten direkt hochgeladen werden kann.
Hinweis:
Es können bei den Server- und Clientverbindungseinstellungen auch lokale Konten verwendet werden.
Lizenzmanagement
- Es müssen Lese-Rechte für die benötigten Benutzer/Gruppen/OUs und Computer in der AD gegeben sein, um Computer oder Benutzer einer Domäne als Verbraucher einer Lizenz hinzuzufügen.
AESB
Contacts Adapter
- Es müssen Lese-Rechte für die benötigten Benutzer/OUs in der AD gegeben sein, um Benutzer einer Domäne als Kontakte in ACMP importieren zu können.
Hinweis:
Wenn dieser Adapter auch gelöschte Objekte berücksichtigen soll, muss der AD-Benutzer Lese-Rechte auf die „Deleted Objects“ haben.
Im Default besitzen nur AD-Admins dieses Recht!
Container Adapter
- Es müssen Lese-Rechte für die benötigten Computer/OUs in der AD gegeben sein, um OUs und Computer einer Domäne als Container mit statisch verknüpften Clients in ACMP einfügen zu können.
Hinweis:
Wenn dieser Adapter auch gelöschte Objekte berücksichtigen soll, muss der AD-Benutzer Lese-Rechte auf die „Deleted Objects“ haben.
Im Default besitzen nur AD-Admins dieses Recht!
Unix Agent
- Es wird ein Zugriff mit Root-Rechten über den SSH-Server benötigt, um den Agenten auf ein Unix-System zu verteilen
- Sollten sich die Installationsdateien schon auf dem Linux befinden (vorher über eine Freigabe auf das System kopiert), wird kein SSH-Zugang benötigt, sondern lediglich entweder ein Benutzer mit Root-Rechten oder ein Benutzer, der sich per sudo Root-Rechte beschaffen darf.